‫ هکرها از ربودن RID ویندوز برای ایجاد حساب مدیریت مخفی استفاده می‌کنند

یک گروه هکری از تکنیکی به نام ربودن RID استفاده می‌کند که ویندوز را فریب می‌دهد تا یک حساب کاربری با امتیاز پایین را به عنوان حساب کاربری با مجوزهای سرپرست تلقی کند.

هکرها از یک فایل مخرب سفارشی و یک ابزار منبع باز برای حمله ربایی استفاده کردند. هر دو ابزار می‌توانند این حمله را انجام دهند، اما محققان شرکت امنیت سایبری کره‌جنوبی AhnLab می‌گویند که تفاوت‌هایی وجود دارد.

چگونه RID hijacking کار می‌کند

شناسه نسبی (RID) در ویندوز بخشی از شناسه امنیتی (SID) است، یک برچسب منحصر به فرد که به هر حساب کاربری اختصاص داده می‌شود تا بین آنها تمایز قائل شود.

RID می‌تواند مقادیری را دریافت کند که سطح دسترسی حساب را نشان می‌دهد، مانند «500» برای مدیران، «501» برای حساب‌های مهمان، «1000» برای کاربران عادی و «512» برای گروه سرپرستان دامنه.

ربودن RID زمانی اتفاق می‌افتد که مهاجمان RID یک حساب کاربری با امتیاز پایین را برای مطابقت با ارزش یک حساب مدیر تغییر می‌دهند و ویندوز به آن دسترسی بالاتری می‌دهد.

با این حال، انجام حمله مستلزم دسترسی به رجیستری SAM است، بنابراین هکرها باید ابتدا سیستم را نقض کرده و به SYSTEM دسترسی پیدا کنند.

آندریل حمله می‌کند

محققان ASEC، مرکز اطلاعات امنیتی AhnLab، این حمله را به گروه تهدید Andariel نسبت می‌دهند که با گروه هکر Lazarus کره‌شمالی مرتبط است.

حملات با دسترسی Andariel به SYSTEM روی هدف از طریق بهره‌برداری از یک آسیب‌پذیری آغاز می‌شود.

هکرها با استفاده از ابزارهایی مانند PsExec و JuicyPotato برای راه‌اندازی یک خط فرمان در سطح سیستم، به تشدید اولیه دست می‌یابند.

اگرچه دسترسی SYSTEM بالاترین سطح در ویندوز است، اما اجازه دسترسی از راه دور را نمی‌دهد، نمی‌تواند با برنامه‌های رابط کاربری گرافیکی تعامل داشته باشد، بسیار پر سر و صدا است و احتمالاً شناسایی می‌شود و نمی‌تواند بین راه‌اندازی مجدد سیستم باقی بماند.

برای رفع این مشکلات، Andariel ابتدا با استفاده از دستور «net user» و افزودن کاراکتر «$» در پایان، یک کاربر محلی پنهان و کم امتیاز ایجاد کرد.

با انجام این کار، مهاجم اطمینان حاصل کرد که حساب از طریق دستور "net user" قابل مشاهده نیست و فقط در رجیستری SAM قابل شناسایی است. سپس آنها ربودن RID را برای افزایش مجوزهای مدیریت انجام دادند.

به گفته محققان، Andariel حساب کاربری خود را به گروه کاربران و مدیران دسکتاپ از راه دور اضافه کرده است.

ربودن RID مورد نیاز برای این کار از طریق اصلاحات رجیستری مدیریت حساب امنیتی (SAM) امکان‌پذیر است از بدافزار سفارشی و یک ابزار متن باز برای انجام تغییرات استفاده می‌کند.

اگرچه دسترسی SYSTEM اجازه ایجاد مستقیم حساب مدیر را می‌دهد، بسته به تنظیمات امنیتی ممکن است محدودیت‌های خاصی اعمال شود. افزایش امتیازات حساب‌های معمولی بسیار پنهان‌تر و سخت‌تر است که شناسایی و متوقف شود.

Andariel در ادامه تلاش می‌کند تا مسیرهای خود را با صادر کردن تنظیمات رجیستری اصلاح‌ شده، حذف کلید و حساب سرکش‌ و سپس ثبت مجدد آن از یک نسخه پشتیبان ذخیره‌شده، پوشش دهد و امکان فعال‌سازی مجدد را بدون نمایش در گزارش‌های سیستم فراهم کند.

برای کاهش خطرات حملات ربودن RID، مدیران سیستم باید از سرویس زیرسیستم مرجع امنیت محلی (LSA) برای بررسی تلاش‌های ورود به سیستم و تغییرات رمز عبور و همچنین جلوگیری از دسترسی غیرمجاز و تغییرات در رجیستری SAM استفاده کنند.

همچنین توصیه می‌شود اجرای PsExec، JuicyPotato و ابزارهای مشابه را محدود کنید، حساب Guest را غیرفعال کنید و از تمام حساب‌های موجود، حتی با امتیاز پایین، با احراز هویت چند مرحله‌ای محافظت کنید.

شایان ذکر است که ربودن RID حداقل از سال 2018 شناخته شده است، زمانی که محقق امنیتی سباستین کاسترو حمله در DerbyCon 8 را به عنوان یک تکنیک پایدار در سیستم های ویندوز ارائه کرد.

منبع

bleepingcomputer